Searchtabs.io 附有持久化機制
Searchtabs.io 是假搜尋引擎的 URL。在檢查可疑網站時,我們的團隊偶然發現了一個欺騙性網頁,該網頁使用露骨內容來誘騙用戶下載安裝設定。此特定設定包括一個瀏覽器劫持程序,該程序會促進 searchtabs.io 網站的使用。
雖然屬於此類別的軟體通常會變更瀏覽器設定以支援某些網站,但在我們的測試環境中,此設定不會對瀏覽器進行任何變更。值得注意的是,該劫持者採用了一種技術來確保其持久性,使用戶很難重新獲得對瀏覽器的控制權。
當我們在測試機上安裝了提升 searchtabs.io 的設定後,我們發現它會影響新的瀏覽器標籤和視窗。每當開啟新分頁或視窗時,它都會自動重新導向至 searchtabs.io,每個重新導向都具有隨機搜尋查詢。
假搜尋引擎之所以被貼上這樣的標籤,是因為它們通常無法提供合法的搜尋結果,而是將使用者重新導向到知名的網路搜尋引擎,如 Bing、Google 或 Yahoo。當使用者開啟新分頁或視窗或在 URL 欄中輸入搜尋查詢時,瀏覽器劫持軟體往往會觸發重定向到非法搜尋引擎。然而,如前所述,瀏覽器劫持者推廣 searchtabs.io 的行為與常態不同。
此外,該軟體採用了一種技術來確保其持久性。這些重定向是透過稱為「UITheme.exe」的進程啟動的。但是,僅終止此程序並不能消除重定向。瀏覽器劫持者會利用 Microsoft 部署工具包中名為「ServiceUI」的工具,可確保「UITheme.exe」重新啟動,即使透過 Windows 工作管理員手動終止或在系統重新啟動後也是如此。
惡意軟體用來實現持久性的常用方法有哪些?
惡意軟體通常採用各種技術來在受感染的系統上實現持久性。這些方法可確保惡意軟體即使在系統重新啟動或嘗試刪除後仍保持活動狀態並可運作。以下是一些用於實現持久性的常用方法:
- 啟動程式和服務:惡意軟體可能會在系統啟動程式或服務中新增項目,確保其在每次系統啟動時運行。
- 登錄項目:惡意軟體可以修改 Windows 登錄,以建立或修改在系統啟動期間執行惡意軟體的項目和值。
- 排程任務:惡意軟體可以建立按指定時間間隔運行的排程任務,使惡意軟體能夠在背景持續運作。
- 自動啟動位置:惡意軟體可能會將自身新增至自動啟動位置,例如「開始」功能表中的「啟動」資料夾或「所有使用者」目錄中的「啟動」資料夾。
- 瀏覽器擴充功能和附加元件:基於瀏覽器的惡意軟體(例如廣告軟體或瀏覽器劫持者)可以在網頁瀏覽器中安裝擴充功能或附加元件,以控制和操縱使用者瀏覽。
- 服務建立:惡意軟體可以建立新的 Windows 服務或操縱現有服務以確保其持續運作。
- DLL 注入:惡意軟體可以將自身注入合法進程或將其動態連結程式庫 (DLL) 載入到系統進程中,從而偽裝其存在。
- 檔案系統變更:惡意軟體可能會建立隱藏或系統檔案和資料夾來儲存其元件或配置數據,使其難以偵測。
- Bootkit 或 Rootkit 安裝:進階惡意軟體可以安裝 bootkit 或 rootkit,這會損害啟動過程或核心作業系統,使其極難偵測並移除。